Estoy creando una aplicación que tiene integraciones con aplicaciones de terceros.
Para hacer esto, el usuario conectado envía una clave API para la integración de terceros.
En el caso de que la clave API que enviaron no sea válida (y devuelva un 401 del tercero), ¿qué respuesta HTTP debo devolver?
Devolver un 401 de mi aplicación suena confuso porque desde el punto de vista de la interfaz, no está claro si mi aplicación o la aplicación de terceros no están autenticadas.
Estoy tentado de darle un 400, como si hubieran enviado un formulario con una dirección de correo electrónico no válida, etc.
Proxy-Authenticate
encabezado que contiene información sobre cómo autorizar correctamente". ¿Qué crees que debería ponerse? RFC 7235 también dice 'El cliente PUEDE repetir la solicitud con un campo de encabezado de Autorización de proxy nuevo o reemplazado', por lo que parece que es parte de un mecanismo muy específico que no se aplica a la situación del solicitante.